Auditoría de tráfico red con TShark

Hola a todos!

Recientemente hemos tenido que hacer una pequeña evaluación del estado de la seguridad de una red, y para ello, entre otras herramientas, hemos estado usando WireShark, pero en esta ocasión, lo he usado desde línea de comandos, no se si por variar o por que me suponía un pequeño desafío. En este pequeño artículo vamos a comentar algunos comandos básicos que podemos ir usando para hacer este tipo de tareas desde el CLI.

Lo primero que debemos tener claro que el comando de linea de comando es TShark.

Después debemos tener clara la ruta del software donde está el programa por si no funciona al no estar añadido al PATH, y la ruta es C:\Program Files\Wireshark ya que es dependiente de Wireshark.

  • Para consultar la version de WireShark:
    • tshark -v
  • Ver interfaces por los que podemos capturar:
    • Tshark –D (Tiene que ser mayuscula)
  • Capturar paquetes de la interface WIFI:
    • tshark -i wi-fi (Donde “wi-fi” es la interface por el que capturamos)
  • Capturar paquetes durante un tiempo dado:
    • tshark -i wi-fi -a duration:5 (Trabaja en segundos)
  • Volcar a un archivo dado:
    • tshark -i wi-fi -w “C:\Users\v2dp\Desktop\Exa\captura.pcap” (Donde “pcap” es la extensión)
  • Leer de un archivo dado:
    • tshark -i wi-fi -r “C:\Users\v2dp\Desktop\Exa\captura.pcap” (Donde “pcap” es la extensión)
  • Capturar solo X paquetes:
    • tshark -c 2 -i wi-fi
  • Capturar paquetes de una fuente o destino IP:
    • tshark -i wi-fi -f “host 8.8.8.8”
  • Capturar paquetes de un protocolo:
    • tshark -i wi-fi -f “tcp”

Espero que os resulte útil

Un saludo

 

Sé el primero en comentar

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.


*